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Digitaler Jahrhundert-Bankraub und eine mutmaßliche Urheberschaft der Gruppe 
„Carbanak“ 


Vorbemerkung der Fragesteller 

Eine Gruppe von Flackerinnen und Flackern mit dem Namen „Carbanak“ hat 
nach Medienberichten 1 Mrd. Dollar von rund 100 Finanzinstituten in 30 Län- 
dern gestohlen (DIE WELT vom 15. Februar 2015). Aufgeklärt wurde der di- 
gitale Bankraub demnach vom IT-Sicherheitsuntemehmen Kaspersky (IT — 
Informationstechnologie). Laut der Firma steckten „Cyberkriminelle aus Russ- 
land, der Ukraine, der EU und China“ hinter der Aktion, die über einen Zeit- 
raum von zwei Jahren ausgeführt worden sei. Hierzu hätten die Hackerinnen 
und Hacker auf die Steuerung von Videokameras in Banken sowie Computer 
einzelner Mitarbeiterinnen und Mitarbeiter zugegriffen, unter anderem indem 
dort Trojaner-Programme installiert wurden. Zuvor seien die Täterinnen und 
Täter mit „Phishing-Methoden“ in Mailkonten eingedrungen. Dann seien 
„Rechner um Rechner“ auf die „Computer der Administratoren“ vorgedrun- 
gen. Dort hätten sie weitere „Remote Access Tools“ installiert um Passwörter 
mitzuschneiden. Je Bankraub seien „bis zu zehn Millionen Dollar“ erbeutet 
worden. 

Angriffe seien auf Russland, die USA, China, Frankreich, Großbritannien, die 
Schweiz und Deutschland ausgeführt worden. Mindestens neun Banken in 
Deutschland seien betroffen. Kaspersky habe die Aktivitäten gemeinsam mit 
den Polizeiorganisationen INTERPOL und Europol entdeckt und aufgeklärt. 
Demnach seien bei den Aktivitäten „modifizierte Standardprogramme wie 
Metasploit oder Fernwartungssoftware wie Team Viewer“ benutzt worden. Die 
Ermittlerinnen und Ermittler machten sich zunutze, dass im Winter 2013 in 
Kiew verdächtige Aktivitäten an einem Bank- Automat aufgezeichnet worden 
seien. Die Bank habe schließlich „die Experten von Kaspersky“ mit Ermittlun- 
gen beauftragt. Möglicherweise seien aber die IT-Dienstleister Fox-IT und 
GroupIB im Jahr 2014 ebenfalls auf „einen Ring, der etwa 50 russische Banken 
angegriffen hatte“ gestoßen. Damals sei ein Trojaner namens „Anunak“ ge- 
nutzt worden. 


Vorbemerkung der Bundesregierung 

In der Antwort zu Frage 14 sind Auskünfte enthalten, die unter dem Aspekt des 
Schutzes der nachrichtendienstlichen Tätigkeit besonders schutzbedürftig sind, 
da diese im Zusammenhang mit den technischen Fähigkeiten der Nachrichten- 
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dienste stehen. Eine Kenntnisnahme von Informationen zu technischen Fähig- 
keiten der Nachrichtendienste durch Unbefugte könnte erhebliche nachteilige 
Auswirkungen auf deren operative Arbeit haben, ln der Konsequenz entstünden 
signifikante Informationslücken mit negativen Folgewirkungen für die Genau- 
igkeit der Abbildung der Sicherheitslage in der Bundesrepublik Deutschland. 
Die künftige Aufgabenerfüllung der Nachrichtendienste des Bundes würde stark 
beeinträchtigt. Insofern könnte die Offenlegung der entsprechenden Informa- 
tionen die Sicherheit der Bundesrepublik Deutschland gefährden oder ihren In- 
teressen schweren Schaden zufügen. Deshalb sind die Antworten zu den genann- 
ten Fragen als Verschlusssache gemäß der Verschlusssachenanweisung (VSA) 
mit dem Geheimhaltungsgrad „Geheim“ eingestuft. 


1. Welche Bundesbehörden und - soweit die Bundesregiemng hierüber 
Kenntnis hat — auch Landesbehörden waren oder sind in die Ermittlungen 
gegen die Gmppe „Carbanak“ bzw. ähnlicher Aktivitäten eingebunden? 

Nach Kenntnis der Bundesregierung führen aktuell keine deutschen Behörden 
Ermittlungen in Bezug auf die Schadsoftware „Carbanak“, da bislang keine 
Deutschlandbezüge bekannt geworden sind. 


2. Wann und von wem waren welche deutschen Behörden erstmals über ent- 
sprechende Aktivitäten von „Carbanak“ oder ähnlicher Gmppen informiert 
bzw. aufmerksam gemacht worden? 

Das Bundeskriminalamt (BKA) wurde erstmalig am 28. Oktober 2014 durch 
Europol über die Malware „Carbanak“ informiert. 

Das Bundesamt für Sicherheit in der Informationstechnik (BSl) wurde erstmals An- 
fang November 2014 von CERT-EU über „Carbanak“ informiert. 


3. Was ist der Bundesregiemng darüber bekannt, welche internationalen Poli- 
zeibehörden ebenfalls an gemeinsamen Ermittlungen teilnehmen? 

Der Bundesregierung liegen keine Erkenntnisse über gemeinsame Ermittlungen 
deutscher Strafverfolgungsbehörden mit internationalen Polizeibehörden in die- 
ser Sache vor. 


4. Was ist der Bundesregiemng darüber bekannt, welche Firmen oder Institute 
ebenfalls an gemeinsamen Ermittlungen teilnehmen? 

5. Inwiefern existieren oder existierten nach Kenntnis der Bundesregiemng 
eigene Arbeitsgmppen internationaler oder deutscher Ermittlerinnen und 
Ermittler bzw. Firmen zu den Aktivitäten von „Carbanak“, und welche 
Details kann die Bundesregiemng hierzu mitteilen? 

Die Fragen 4 und 5 werden gemeinsam beantwortet. 

Hierzu liegen der Bundesregierung keine Erkenntnisse vor. 


6. Über welche eigenen Erkenntnisse verfügt die Bundesregiemng über die 
Gmppe „Carbanak“? 

Nach Kenntnis der Bundesregierung handelt es sich bei „Carbanak“ primär um 
die Bezeichnung einer Schadsoftware, die über den Standardfunktionsumfang 
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bekannter Schadsoftware verfügt (Ausschalten von Anti-Viren-Software, Fem- 
zugriff, sogenannte Key-Logging- und Screen-Capture-Funktionalität). Weiter- 
hin soll „Carbanak“ in der Lage sein, spezielle firmeninteme Bankenapplikatio- 
nen festzustellen, um diese auszuforschen und anschließend zu missbrauchen. 
Zu möglichen Tätern liegen der Bunderegierung keine Erkenntnisse vor. 


7. Welche Finanz Institute bzw. sonstigen Einrichtungen sind demnach in 
Deutschland betroffen (bitte nach Bundesländern aufschlüsseln)? 

Nach Kenntnis der Bundesregierung sind bisher keine deutschen Finanzinstitute 
oder sonstige Einrichtungen von der Schadsoftware „Carbanak“ betroffen. 


8. Welche Finanzinstitute bzw. sonstigen Einrichtungen sind nach Kenntnis 
der Bundesregiemng demnach in welchen anderen Ländern betroffen? 

Bislang liegen der Bundesregierung nur Informationen zu Angriffen auf ost- 
europäische Finanzinstitute (fünf Banken in Russland und fünf Banken in der 
Ukraine) vor. 


9. Inwiefern kann die Bundesregiemng die Schätzungen von Medien bestä- 
tigen, wonach mnd 1 Mrd. Dollar gestohlen worden sein soll? 

Nach Kenntnis der Bundesregierung haben zwei der angegriffenen Banken ei- 
nen Gesamtwert von ca. 17 Mio. US-Dollar verloren. 


10. Inwiefern treffen nach Kenntnis der Bundesregiemng Medienberichte 
bzw. Verlautbamngen des IT-Sicherheitsuntemehmens Kaspersky zu oder 
nicht zu, wonach hinter den Aktivitäten „Cyberkriminelle aus Russland, 
der Ukraine, der EU und China“ steckten? 

1 1 . Inwiefern trifft es nach Kenntnis der Bundesregiemng zu oder nicht zu, 
dass die Hackerinnen und Hacker auf die Steuemng von Videokameras in 
Banken sowie Computer einzelner Mitarbeiterinnen und Mitarbeiter zuge- 
griffen haben? 

Die Fragen 10 und 1 1 werden gemeinsam beantwortet. 

Hierzu liegen der Bundesregiemng keine Erkenntnisse vor. 


12. Inwiefern trifft es nach Kenntnis der Bundesregiemng zu oder nicht zu, 
dass auch Trojaner-Programme installiert wurden, und um welche Pro- 
gramme handelt es sich dabei? 

Der Bundesregiemng liegen die Analyseberichte von Kaspersky und F-Secure/ 
GroupIB vor. Demnach wurde bei „Carbanak“ eine Abwandlung der „Caberp“- 
Malware verwendet. Dabei handelt es sich um einen Trojaner, der bisher einge- 
setzt wurde, um einzelne Online-Banking-Nutzer anzugreifen. 


13. Wie viele Personen wurden nach Kenntnis der Bundesregiemng bereits als 
mutmaßliche Urheberinnen und Urheber der Hacks ermittelt? 


Hierzu liegen der Bundesregiemng keine Erkenntnisse vor. 
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1 4. Was ist der Bundesregierung über eine „Equation Group“ bekannt, und in- 
wiefern bzw. mit welchen Behörden ist sie selbst in entsprechende Ermitt- 
lungen eingebunden (Süddeutsche Zeitung vom 17. Februar 2015)? 

Die Antwort auf den ersten Teil der Frage ist als Verschlusssache gemäß der 
VSA mit dem Geheimhaltungsgrad „Geheim“ eingestuft.* Hierzu wird auf die 
Vorbemerkung der Bundesregierang verwiesen. 

Zum zweiten Teil der Frage: Die Analyse des Sachverhalts wird in einer Arbeits- 
gruppe des Nationalen Cyber- Abwehrzentrams durch das Bundesamt für Ver- 
fassungsschutz, den Bundesnachrichtendienst und das BSl durchgeführt. 


15. Inwiefern waren oder sind Einrichtungen in Deutschland nach Kenntnis 
der Bundesregierang von Aktivitäten der „Equation Group“ betroffen, und 
um welche handelt es sich dabei? 

Eine mögliche deutsche Betroffenheit wird von einer Arbeitsgruppe im Natio- 
nalen Cyber-Abwehrzentram geprüft. 


16. Welche Bundesbehörden und - soweit die Bundesregierung hierüber 
Kenntnis hat - auch Landesbehörden waren oder sind in die Ermittlungen 
gegen Botnetze, die Rechner angeblich mit der Malware „Ramnit“ infizie- 
ren, eingebunden (heise.de vom 25. Februar 2015)? 

Nach Kenntnis der Bundesregierung ist in Deutschland nur das BKA in die Er- 
mittlungen gegen das Ramnit-Botnetz eingebunden gewesen, ln Deutschland 
befanden sich relevante Server. Zur Umsetzung der Maßnahmen wurde eine zu- 
ständige Staatsanwaltschaft in Sachsen eingebunden. 

a) Wann und von wem waren welche deutschen Behörden erstmals über 
entsprechende Aktivitäten informiert bzw. aufmerksam gemacht wor- 
den? 

Das BKA wurde durch Europol am 12. November 2014 erstmalig über interna- 
tional geplante Maßnahmen in Kenntnis gesetzt. Das BSl wurde am 6. Februar 
2015 vom BKA über die für den 24. Februar 2015 geplante Abschaltung der für 
das Ramnit-Botnetz relevanten Server-Infrastruktur informiert. 

b) Was ist der Bundesregierung darüber bekannt, welche internationalen 
Polizeibehörden ebenfalls an gemeinsamen Ermittlungen teilnehmen? 

Die Abschaltung des Ramnit-Botnetzes wurde von der europäischen Polizeibe- 
hörde Europol in Den Haag international koordiniert. Italien, die Niederlande 
und Großbritannien waren ebenfalls beteiligt. 

c) Was ist der Bundesregierung darüber bekannt, welche Firmen oder In- 
stitute ebenfalls an gemeinsamen Ermittlungen teilnehmen? 

Nach Kenntnis der Bundesregierung waren die Unternehmen Microsoft, Anubis 
Networks und Symantec an der koordinierten Aktion gegen das Ramnit-Botnetz 
beteiligt. 


* Das Bundesministerium des Innern hat die Antwort als „VS - Geheim“ eingestuft. Die Antwort ist in 
der Geheimschutzstelle des Deutschen Bundestages hinterlegt und kann dort nach Maßgabe der Ge- 
heimschutzordnung eingesehen werden. 
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d) Worin genau bestand nach Kenntnis der Bundesregierung der Beitrag 
der Unternehmen Microsoft, Symantec und Anubisnetworks? 

Nach Kenntnis der Bundesregierung sind die benannten Firmen bei der Identifi- 
zierung der täterseitig genutzten Infrastruktur sowie in Bezug auf die Bereini- 
gungsbemühungen infizierter Endgeräte eingebunden gewesen. 

e) Inwiefern existieren oder existierten nach Kenntnis der Bundesregie- 
mng eigene Arbeitsgmppen internationaler oder deutscher Ermittlerin- 
nen und Ermittler bzw. Firmen zu den Aktivitäten, und welche Details 
kann die Bundesregiemng hierzu mitteilen? 

Nach Kenntnis der Bundesregierang ist die bei Europol eingerichtete Joint Cy- 
bercrime Action Task Force die einzige Arbeitsgruppe mit „internationalen oder 
deutschen Ermittlern“. Diese war in die Koordinierung der Maßnahmen einge- 
bunden. 


17. Auf welche Weise ist es „Ermittlern der Polizeiorganisation Europol“ nach 
Kenntnis der Bundesregierung gelungen, „die Command-and-Control- 
Server ausfindig zu machen und vom Netz zu nehmen“? 

Da operative Maßnahmen der Hoheit einzelner Staaten gemäß nationalem Recht 
obliegen, wurde die Server-Infrastruktur durch die ermittelnden nationalen Be- 
hörden identifiziert, die auch die hoheitlichen Maßnahmen im jeweils eigenen 
Land durchführten. Es wurden keine eigenen „Ermittler der Polizeiorganisation 
Europol“ eingesetzt. Europol hatte nur eine koordinierende Rolle, wie auch den 
Pressemitteilungen von BKA und Europol zu entnehmen ist. 


18. Auf welche Weise sollen nach gegenwärtigem Stand „Nutzer in Deutsch- 
land, deren Computer unter der Kontrolle der Botnetz-Betreiber waren“, 
ermittelt und informiert werden, und um wie viele Betroffene handelt es 
sich vermutlich? 

Die mit einem Schadprogramm infizierten Computersysteme versuchen in der 
Regel, mit einem Kontrollserver Kontakt aufzunehmen. Seit der Abschaltung 
der Botnetz-Infrastraktur werden diese Verbindungsanfragen protokolliert. Das 
BSI erhält vom CERT-EU seit dem 25. Februar 2015 in unregelmäßigen Abstän- 
den entsprechende Informationen über IP-Adressen in Deutschland. Diese wer- 
den an die jeweils zuständigen Provider weitergeleitet mit der Bitte, die Kunden 
über die vermutete Infektion ihrer PCs zu informieren. 

Das BSI geht mit Stand 10. März 2015 von ca. 600 bis 1 000 Infektionen in 
Deutschland aus. 


19. Nach welchem technischen Verfahren will die Bundesregierang PNR- 
Daten (Passenger Name Record - PNR) und Reisebewegungen von Per- 
sonen einer „retroaktiven Analyse“ unterziehen, um wie gewünscht „wei- 
tere hilfreiche Ermittlungsansätze“ zu erhalten oder „bisher unbekannte 
Verbindungen zwischen Personen [zu] verdeutlichen“ (Bundestagsdrack- 
sache 18/2972)? 

a) Welche bereits vorhandene Software wäre hierfür geeignet? 

b) Welche Art von Software könnte oder müsste hierfür beschafft wer- 
den? 

Die Fragen 19, 19a und 19b werden gemeinsam beantwortet. 
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Entsprechende Überlegungen hat die Bundesregierung noch nicht angestellt. 
Welche konkreten technischen Verfahren oder welche Softwareprodukte zur 
Analyse der PNR-Daten zur Anwendung kommen könnten, wird abhängig vom 
weiteren Fortgang der Verhandlungen über die PNR-Richtlinie zu gegebener 
Zeit zu betrachten sein. 


20. Welche Methoden (außer Software) werden bei Bundesbehörden genutzt, 
um Finanzströme bzw. verdächtige Aktivitäten bei Kredit- und Finanz- 
instituten rückwirkend zu analysieren? 

Das BKA und der Zollfahndungsdienst verwenden für Finanzermittlungen in 
konkreten Ermittlungsverfahren die bei Banken nach den Möglichkeiten der 
Strafjrrozessordnung erhobenen Daten von Herkunfts- und Zielkonten für eine 
Geldflussanalyse. Dabei werden grundsätzlich nur die Daten genutzt, die im 
Rahmen eines Strafverfahrens erhoben wurden und als Beweismittel verwendet 
werden dürfen. 


21. Welche Software wird bei Bundesbehörden genutzt, um Finanzströme 
bzw. verdächtige Aktivitäten bei Kredit- und Finanzinstituten rückwir- 
kend zu analysieren? 

Für Finanzermittlungen kommen bei Bundesbehörden folgende Softwarepro- 
dukte zum Einsatz: 

• Microsoft-Office-Anwendungen, insbesondere Excel, 

• Analyst’s Notebook (IBM), 

• IDEA (CaseWare International Inc.), inkl. dem ergänzenden Analysewerk- 
zeug AIS TaxAudit (Audicon GmbH), 

• b-case als Fallbearbeitungssystem sowie rs-case für darüber hinausgehende 
Analysezwecke (Rola Securities). 

Ergänzend wird auf die Antwort zu Frage 20 verwiesen. 


22. Wie will die Bundesregiemng technisch und organisatorisch Umset- 
zen, dies, wie vom EU-Rat gefordert, weiter auszubauen (http://t.co/ 
UzrCCPORDN)? 

Der Rat der Europäischen Union fordert in dem zitierten Papier: „Member States 
quickly implement the strengthened mies to prevent money laundering and ter- 
rorist financing, and that all competent authorities Step up action to trace finan- 
cial flows and to freeze assets used for financing terrorism.“ Die Bundesregie- 
rung wird die Vorgaben der Vierten Geldwäsche-Richtlinie fristgerecht umset- 
zen. 
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23. Was kann die Bundesregierung zu Herstellern bzw. Programmierern der 
bei Europol bereits genutzten „Ma3tch“-Technologie zum Aufspüren ver- 
dächtiger Finanz -Aktivitäten in Echtzeit mitteilen (Bundestagsdrucksache 
18/3910)? 

Ansprechpartner und Programmierer der Ma^tch-Technologie ist das FIU.Net- 
Projekt: 

FIU.NET Bureau 

Dutch Ministry of Security and Justice 

c/o Eisenhowerlaan 73 

P.O. Box 90850 

2509 LW Den Haag 

The Netherlands 

Die „Ma^tch“ -Technologie wird bei Europol noch nicht genutzt. Eine Nutzung 
erfolgt durch das FIU.net. Es ist beabsichtigt, das FIU.Net-Projekt zu Europol 
zu überführen. Hierzu wird auf die Antwort zu Frage 19e auf Bundestagsdruck- 
sache 18/2888 verwiesen. 


24. Was kann die Bundesregiemng zur Funktionsweise der bei Europol bereits 
genutzten „Ma3tch“-Technologie zum Aufspüren verdächtiger Finanz- 
Aktivitäten in Echtzeit mitteilen? 

Nach Kenntnis der Bundesregierung handelt es sich bei der Ma^tch-Funktion 
um einen „automatisierten“ Abgleich pseudonymisierter Daten, nach dem Hit- 
No-Hit-Prinzip. Die pseudonymisierten Daten müssen dazu von den „Teilneh- 
mern“ aktiv zur Verfügung gestellt werden. Vor einem Abgleich werden die Per- 
sonendaten in Hashwerte umgewandelt. Die Ma^tch-Funktionalität ist keine 
fachliche Anwendung, um verdächtige Finanztransaktion aufzuspüren, weder in 
Echtzeit noch retrograd. Ergänzend wird auf die Antwort zu Frage 23 verwiesen. 


25 . Auf welche Weise wird bei „Ma^tch“ ein „automatisierter oder anlassloser 
Datenaustausch“ vorgenommen (Bundestagsdmcksache 18/2888)? 

Zur Funktionsweise wird auf die Antwort zu Frage 24 verwiesen. Durch Arti- 
kel 53 Absatz 2 des Entwurfs der Vierten EU-Geldwäscherichtlinie (2013/ 
0025(COD)) soll der auf der Ma^tch-Funktion basierte „anonyme“ Datenaus- 
tausch gesetzlich klargestellt werden: 

„[...] Member States shall ensure that, in order to fulfil their tasks as laid down 
in this Directive, their FlUs co-operate in the application of state-of-the-art tech- 
nologies in accordance with their national law. Those technologies shall allow 
FlUs to match their data with that of other FlUs in an anonymous way by ensu- 
ring full protection of personal data with the aim of detecting subjects of the 
FlU’s interests in other Member States and identifying their proceeds and 
funds.“ 
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26. Welche Abteilung des Bundeskriminalamtes (BKA) ist derzeit damit be- 
fasst, zu prüfen, ob die bei Europol bereits genutzte „Ma3tch“-Technolo- 
gie zum Aufspüren verdächtiger Finanz -Aktivitäten in Echtzeit auch beim 
BKA genutzt werden könnte (Bundestagsdrucksache 18/3910)? 

a) Welche konkreten Fragen bzw. Annahmen liegen dieser Prüfung zu- 
grunde? 

b) Welche weiteren Behörden oder sonstigen Akteure sind an der Prüfung 
beteiligt? 

Die Fragen 26, 26a und 26b werden gemeinsam beantwortet. 

Die Prüfung beim BKA obliegt der Abteilung Schwere und Organisierte Krimi- 
nalität in Abstimmung mit anderen zuständigen Abteilungen. Die Prüfung er- 
folgt unter Maßgabe der vom F1U.NET erarbeiteten Vorgaben und Spezifikatio- 
nen. Ergänzend wird auf die Antwort zu Frage 25 verwiesen. 

c) Wann ist nach gegenwärtigem Stand mit einem Abschluss der Prüfung 
zu rechnen? 

Das BKA wird seine Prüfung voraussichtlich bis zum Sommer 2015 abschlie- 
ßen. 
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Digitaler Jahrhundert-Bankraub und eine mutmaßliche Urheberschaft der Gruppe 
„Carbanak“ 


Vorbemerkung der Fragesteller 

Eine Gruppe von Flackerinnen und Flackern mit dem Namen „Carbanak“ hat 
nach Medienberichten 1 Mrd. Dollar von rund 100 Finanzinstituten in 30 Län- 
dern gestohlen (DIE WELT vom 15. Februar 2015). Aufgeklärt wurde der di- 
gitale Bankraub demnach vom IT-Sicherheitsuntemehmen Kaspersky (IT — 
Informationstechnologie). Laut der Firma steckten „Cyberkriminelle aus Russ- 
land, der Ukraine, der EU und China“ hinter der Aktion, die über einen Zeit- 
raum von zwei Jahren ausgeführt worden sei. Hierzu hätten die Hackerinnen 
und Hacker auf die Steuerung von Videokameras in Banken sowie Computer 
einzelner Mitarbeiterinnen und Mitarbeiter zugegriffen, unter anderem indem 
dort Trojaner-Programme installiert wurden. Zuvor seien die Täterinnen und 
Täter mit „Phishing-Methoden“ in Mailkonten eingedrungen. Dann seien 
„Rechner um Rechner“ auf die „Computer der Administratoren“ vorgedrun- 
gen. Dort hätten sie weitere „Remote Access Tools“ installiert um Passwörter 
mitzuschneiden. Je Bankraub seien „bis zu zehn Millionen Dollar“ erbeutet 
worden. 

Angriffe seien auf Russland, die USA, China, Frankreich, Großbritannien, die 
Schweiz und Deutschland ausgeführt worden. Mindestens neun Banken in 
Deutschland seien betroffen. Kaspersky habe die Aktivitäten gemeinsam mit 
den Polizeiorganisationen INTERPOL und Europol entdeckt und aufgeklärt. 
Demnach seien bei den Aktivitäten „modifizierte Standardprogramme wie 
Metasploit oder Fernwartungssoftware wie Team Viewer“ benutzt worden. Die 
Ermittlerinnen und Ermittler machten sich zunutze, dass im Winter 2013 in 
Kiew verdächtige Aktivitäten an einem Bank- Automat aufgezeichnet worden 
seien. Die Bank habe schließlich „die Experten von Kaspersky“ mit Ermittlun- 
gen beauftragt. Möglicherweise seien aber die IT-Dienstleister Fox-IT und 
GroupIB im Jahr 2014 ebenfalls auf „einen Ring, der etwa 50 russische Banken 
angegriffen hatte“ gestoßen. Damals sei ein Trojaner namens „Anunak“ ge- 
nutzt worden. 


Vorbemerkung der Bundesregierung 

In der Antwort zu Frage 14 sind Auskünfte enthalten, die unter dem Aspekt des 
Schutzes der nachrichtendienstlichen Tätigkeit besonders schutzbedürftig sind, 
da diese im Zusammenhang mit den technischen Fähigkeiten der Nachrichten- 
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dienste stehen. Eine Kenntnisnahme von Informationen zu technischen Fähig- 
keiten der Nachrichtendienste durch Unbefugte könnte erhebliche nachteilige 
Auswirkungen auf deren operative Arbeit haben, ln der Konsequenz entstünden 
signifikante Informationslücken mit negativen Folgewirkungen für die Genau- 
igkeit der Abbildung der Sicherheitslage in der Bundesrepublik Deutschland. 
Die künftige Aufgabenerfüllung der Nachrichtendienste des Bundes würde stark 
beeinträchtigt. Insofern könnte die Offenlegung der entsprechenden Informa- 
tionen die Sicherheit der Bundesrepublik Deutschland gefährden oder ihren In- 
teressen schweren Schaden zufügen. Deshalb sind die Antworten zu den genann- 
ten Fragen als Verschlusssache gemäß der Verschlusssachenanweisung (VSA) 
mit dem Geheimhaltungsgrad „Geheim“ eingestuft. 


1. Welche Bundesbehörden und - soweit die Bundesregiemng hierüber 
Kenntnis hat — auch Landesbehörden waren oder sind in die Ermittlungen 
gegen die Gmppe „Carbanak“ bzw. ähnlicher Aktivitäten eingebunden? 

Nach Kenntnis der Bundesregierung führen aktuell keine deutschen Behörden 
Ermittlungen in Bezug auf die Schadsoftware „Carbanak“, da bislang keine 
Deutschlandbezüge bekannt geworden sind. 


2. Wann und von wem waren welche deutschen Behörden erstmals über ent- 
sprechende Aktivitäten von „Carbanak“ oder ähnlicher Gmppen informiert 
bzw. aufmerksam gemacht worden? 

Das Bundeskriminalamt (BKA) wurde erstmalig am 28. Oktober 2014 durch 
Europol über die Malware „Carbanak“ informiert. 

Das Bundesamt für Sicherheit in der Informationstechnik (BSl) wurde erstmals An- 
fang November 2014 von CERT-EU über „Carbanak“ informiert. 


3. Was ist der Bundesregiemng darüber bekannt, welche internationalen Poli- 
zeibehörden ebenfalls an gemeinsamen Ermittlungen teilnehmen? 

Der Bundesregierung liegen keine Erkenntnisse über gemeinsame Ermittlungen 
deutscher Strafverfolgungsbehörden mit internationalen Polizeibehörden in die- 
ser Sache vor. 


4. Was ist der Bundesregiemng darüber bekannt, welche Firmen oder Institute 
ebenfalls an gemeinsamen Ermittlungen teilnehmen? 

5. Inwiefern existieren oder existierten nach Kenntnis der Bundesregiemng 
eigene Arbeitsgmppen internationaler oder deutscher Ermittlerinnen und 
Ermittler bzw. Firmen zu den Aktivitäten von „Carbanak“, und welche 
Details kann die Bundesregiemng hierzu mitteilen? 

Die Fragen 4 und 5 werden gemeinsam beantwortet. 

Hierzu liegen der Bundesregierung keine Erkenntnisse vor. 


6. Über welche eigenen Erkenntnisse verfügt die Bundesregiemng über die 
Gmppe „Carbanak“? 

Nach Kenntnis der Bundesregierung handelt es sich bei „Carbanak“ primär um 
die Bezeichnung einer Schadsoftware, die über den Standardfunktionsumfang 
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bekannter Schadsoftware verfügt (Ausschalten von Anti-Viren-Software, Fem- 
zugriff, sogenannte Key-Logging- und Screen-Capture-Funktionalität). Weiter- 
hin soll „Carbanak“ in der Lage sein, spezielle firmeninteme Bankenapplikatio- 
nen festzustellen, um diese auszuforschen und anschließend zu missbrauchen. 
Zu möglichen Tätern liegen der Bunderegierung keine Erkenntnisse vor. 


7. Welche Finanz Institute bzw. sonstigen Einrichtungen sind demnach in 
Deutschland betroffen (bitte nach Bundesländern aufschlüsseln)? 

Nach Kenntnis der Bundesregierung sind bisher keine deutschen Finanzinstitute 
oder sonstige Einrichtungen von der Schadsoftware „Carbanak“ betroffen. 


8. Welche Finanzinstitute bzw. sonstigen Einrichtungen sind nach Kenntnis 
der Bundesregiemng demnach in welchen anderen Ländern betroffen? 

Bislang liegen der Bundesregierung nur Informationen zu Angriffen auf ost- 
europäische Finanzinstitute (fünf Banken in Russland und fünf Banken in der 
Ukraine) vor. 


9. Inwiefern kann die Bundesregiemng die Schätzungen von Medien bestä- 
tigen, wonach mnd 1 Mrd. Dollar gestohlen worden sein soll? 

Nach Kenntnis der Bundesregierung haben zwei der angegriffenen Banken ei- 
nen Gesamtwert von ca. 17 Mio. US-Dollar verloren. 


10. Inwiefern treffen nach Kenntnis der Bundesregiemng Medienberichte 
bzw. Verlautbamngen des IT-Sicherheitsuntemehmens Kaspersky zu oder 
nicht zu, wonach hinter den Aktivitäten „Cyberkriminelle aus Russland, 
der Ukraine, der EU und China“ steckten? 

1 1 . Inwiefern trifft es nach Kenntnis der Bundesregiemng zu oder nicht zu, 
dass die Hackerinnen und Hacker auf die Steuemng von Videokameras in 
Banken sowie Computer einzelner Mitarbeiterinnen und Mitarbeiter zuge- 
griffen haben? 

Die Fragen 10 und 1 1 werden gemeinsam beantwortet. 

Hierzu liegen der Bundesregiemng keine Erkenntnisse vor. 


12. Inwiefern trifft es nach Kenntnis der Bundesregiemng zu oder nicht zu, 
dass auch Trojaner-Programme installiert wurden, und um welche Pro- 
gramme handelt es sich dabei? 

Der Bundesregiemng liegen die Analyseberichte von Kaspersky und F-Secure/ 
GroupIB vor. Demnach wurde bei „Carbanak“ eine Abwandlung der „Caberp“- 
Malware verwendet. Dabei handelt es sich um einen Trojaner, der bisher einge- 
setzt wurde, um einzelne Online-Banking-Nutzer anzugreifen. 


13. Wie viele Personen wurden nach Kenntnis der Bundesregiemng bereits als 
mutmaßliche Urheberinnen und Urheber der Hacks ermittelt? 


Hierzu liegen der Bundesregiemng keine Erkenntnisse vor. 



Drucksache 18/4437 


-4- 


Deutscher Bundestag — 18. Wahlperiode 


1 4. Was ist der Bundesregierung über eine „Equation Group“ bekannt, und in- 
wiefern bzw. mit welchen Behörden ist sie selbst in entsprechende Ermitt- 
lungen eingebunden (Süddeutsche Zeitung vom 17. Februar 2015)? 

Die Antwort auf den ersten Teil der Frage ist als Verschlusssache gemäß der 
VSA mit dem Geheimhaltungsgrad „Geheim“ eingestuft.* Hierzu wird auf die 
Vorbemerkung der Bundesregierang verwiesen. 

Zum zweiten Teil der Frage: Die Analyse des Sachverhalts wird in einer Arbeits- 
gruppe des Nationalen Cyber- Abwehrzentrams durch das Bundesamt für Ver- 
fassungsschutz, den Bundesnachrichtendienst und das BSl durchgeführt. 


15. Inwiefern waren oder sind Einrichtungen in Deutschland nach Kenntnis 
der Bundesregierang von Aktivitäten der „Equation Group“ betroffen, und 
um welche handelt es sich dabei? 

Eine mögliche deutsche Betroffenheit wird von einer Arbeitsgruppe im Natio- 
nalen Cyber-Abwehrzentram geprüft. 


16. Welche Bundesbehörden und - soweit die Bundesregierung hierüber 
Kenntnis hat - auch Landesbehörden waren oder sind in die Ermittlungen 
gegen Botnetze, die Rechner angeblich mit der Malware „Ramnit“ infizie- 
ren, eingebunden (heise.de vom 25. Februar 2015)? 

Nach Kenntnis der Bundesregierung ist in Deutschland nur das BKA in die Er- 
mittlungen gegen das Ramnit-Botnetz eingebunden gewesen, ln Deutschland 
befanden sich relevante Server. Zur Umsetzung der Maßnahmen wurde eine zu- 
ständige Staatsanwaltschaft in Sachsen eingebunden. 

a) Wann und von wem waren welche deutschen Behörden erstmals über 
entsprechende Aktivitäten informiert bzw. aufmerksam gemacht wor- 
den? 

Das BKA wurde durch Europol am 12. November 2014 erstmalig über interna- 
tional geplante Maßnahmen in Kenntnis gesetzt. Das BSl wurde am 6. Februar 
2015 vom BKA über die für den 24. Februar 2015 geplante Abschaltung der für 
das Ramnit-Botnetz relevanten Server-Infrastruktur informiert. 

b) Was ist der Bundesregierung darüber bekannt, welche internationalen 
Polizeibehörden ebenfalls an gemeinsamen Ermittlungen teilnehmen? 

Die Abschaltung des Ramnit-Botnetzes wurde von der europäischen Polizeibe- 
hörde Europol in Den Haag international koordiniert. Italien, die Niederlande 
und Großbritannien waren ebenfalls beteiligt. 

c) Was ist der Bundesregierung darüber bekannt, welche Firmen oder In- 
stitute ebenfalls an gemeinsamen Ermittlungen teilnehmen? 

Nach Kenntnis der Bundesregierung waren die Unternehmen Microsoft, Anubis 
Networks und Symantec an der koordinierten Aktion gegen das Ramnit-Botnetz 
beteiligt. 


* Das Bundesministerium des Innern hat die Antwort als „VS - Geheim“ eingestuft. Die Antwort ist in 
der Geheimschutzstelle des Deutschen Bundestages hinterlegt und kann dort nach Maßgabe der Ge- 
heimschutzordnung eingesehen werden. 
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d) Worin genau bestand nach Kenntnis der Bundesregierung der Beitrag 
der Unternehmen Microsoft, Symantec und Anubisnetworks? 

Nach Kenntnis der Bundesregierung sind die benannten Firmen bei der Identifi- 
zierung der täterseitig genutzten Infrastruktur sowie in Bezug auf die Bereini- 
gungsbemühungen infizierter Endgeräte eingebunden gewesen. 

e) Inwiefern existieren oder existierten nach Kenntnis der Bundesregie- 
mng eigene Arbeitsgmppen internationaler oder deutscher Ermittlerin- 
nen und Ermittler bzw. Firmen zu den Aktivitäten, und welche Details 
kann die Bundesregiemng hierzu mitteilen? 

Nach Kenntnis der Bundesregierang ist die bei Europol eingerichtete Joint Cy- 
bercrime Action Task Force die einzige Arbeitsgruppe mit „internationalen oder 
deutschen Ermittlern“. Diese war in die Koordinierung der Maßnahmen einge- 
bunden. 


17. Auf welche Weise ist es „Ermittlern der Polizeiorganisation Europol“ nach 
Kenntnis der Bundesregierung gelungen, „die Command-and-Control- 
Server ausfindig zu machen und vom Netz zu nehmen“? 

Da operative Maßnahmen der Hoheit einzelner Staaten gemäß nationalem Recht 
obliegen, wurde die Server-Infrastruktur durch die ermittelnden nationalen Be- 
hörden identifiziert, die auch die hoheitlichen Maßnahmen im jeweils eigenen 
Land durchführten. Es wurden keine eigenen „Ermittler der Polizeiorganisation 
Europol“ eingesetzt. Europol hatte nur eine koordinierende Rolle, wie auch den 
Pressemitteilungen von BKA und Europol zu entnehmen ist. 


18. Auf welche Weise sollen nach gegenwärtigem Stand „Nutzer in Deutsch- 
land, deren Computer unter der Kontrolle der Botnetz-Betreiber waren“, 
ermittelt und informiert werden, und um wie viele Betroffene handelt es 
sich vermutlich? 

Die mit einem Schadprogramm infizierten Computersysteme versuchen in der 
Regel, mit einem Kontrollserver Kontakt aufzunehmen. Seit der Abschaltung 
der Botnetz-Infrastraktur werden diese Verbindungsanfragen protokolliert. Das 
BSI erhält vom CERT-EU seit dem 25. Februar 2015 in unregelmäßigen Abstän- 
den entsprechende Informationen über IP-Adressen in Deutschland. Diese wer- 
den an die jeweils zuständigen Provider weitergeleitet mit der Bitte, die Kunden 
über die vermutete Infektion ihrer PCs zu informieren. 

Das BSI geht mit Stand 10. März 2015 von ca. 600 bis 1 000 Infektionen in 
Deutschland aus. 


19. Nach welchem technischen Verfahren will die Bundesregierang PNR- 
Daten (Passenger Name Record - PNR) und Reisebewegungen von Per- 
sonen einer „retroaktiven Analyse“ unterziehen, um wie gewünscht „wei- 
tere hilfreiche Ermittlungsansätze“ zu erhalten oder „bisher unbekannte 
Verbindungen zwischen Personen [zu] verdeutlichen“ (Bundestagsdrack- 
sache 18/2972)? 

a) Welche bereits vorhandene Software wäre hierfür geeignet? 

b) Welche Art von Software könnte oder müsste hierfür beschafft wer- 
den? 

Die Fragen 19, 19a und 19b werden gemeinsam beantwortet. 
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Entsprechende Überlegungen hat die Bundesregierung noch nicht angestellt. 
Welche konkreten technischen Verfahren oder welche Softwareprodukte zur 
Analyse der PNR-Daten zur Anwendung kommen könnten, wird abhängig vom 
weiteren Fortgang der Verhandlungen über die PNR-Richtlinie zu gegebener 
Zeit zu betrachten sein. 


20. Welche Methoden (außer Software) werden bei Bundesbehörden genutzt, 
um Finanzströme bzw. verdächtige Aktivitäten bei Kredit- und Finanz- 
instituten rückwirkend zu analysieren? 

Das BKA und der Zollfahndungsdienst verwenden für Finanzermittlungen in 
konkreten Ermittlungsverfahren die bei Banken nach den Möglichkeiten der 
Strafjrrozessordnung erhobenen Daten von Herkunfts- und Zielkonten für eine 
Geldflussanalyse. Dabei werden grundsätzlich nur die Daten genutzt, die im 
Rahmen eines Strafverfahrens erhoben wurden und als Beweismittel verwendet 
werden dürfen. 


21. Welche Software wird bei Bundesbehörden genutzt, um Finanzströme 
bzw. verdächtige Aktivitäten bei Kredit- und Finanzinstituten rückwir- 
kend zu analysieren? 

Für Finanzermittlungen kommen bei Bundesbehörden folgende Softwarepro- 
dukte zum Einsatz: 

• Microsoft-Office-Anwendungen, insbesondere Excel, 

• Analyst’s Notebook (IBM), 

• IDEA (CaseWare International Inc.), inkl. dem ergänzenden Analysewerk- 
zeug AIS TaxAudit (Audicon GmbH), 

• b-case als Fallbearbeitungssystem sowie rs-case für darüber hinausgehende 
Analysezwecke (Rola Securities). 

Ergänzend wird auf die Antwort zu Frage 20 verwiesen. 


22. Wie will die Bundesregiemng technisch und organisatorisch Umset- 
zen, dies, wie vom EU-Rat gefordert, weiter auszubauen (http://t.co/ 
UzrCCPORDN)? 

Der Rat der Europäischen Union fordert in dem zitierten Papier: „Member States 
quickly implement the strengthened mies to prevent money laundering and ter- 
rorist financing, and that all competent authorities Step up action to trace finan- 
cial flows and to freeze assets used for financing terrorism.“ Die Bundesregie- 
rung wird die Vorgaben der Vierten Geldwäsche-Richtlinie fristgerecht umset- 
zen. 
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23. Was kann die Bundesregierung zu Herstellern bzw. Programmierern der 
bei Europol bereits genutzten „Ma3tch“-Technologie zum Aufspüren ver- 
dächtiger Finanz -Aktivitäten in Echtzeit mitteilen (Bundestagsdrucksache 
18/3910)? 

Ansprechpartner und Programmierer der Ma^tch-Technologie ist das FIU.Net- 
Projekt: 

FIU.NET Bureau 

Dutch Ministry of Security and Justice 

c/o Eisenhowerlaan 73 

P.O. Box 90850 

2509 LW Den Haag 

The Netherlands 

Die „Ma^tch“ -Technologie wird bei Europol noch nicht genutzt. Eine Nutzung 
erfolgt durch das FIU.net. Es ist beabsichtigt, das FIU.Net-Projekt zu Europol 
zu überführen. Hierzu wird auf die Antwort zu Frage 19e auf Bundestagsdruck- 
sache 18/2888 verwiesen. 


24. Was kann die Bundesregiemng zur Funktionsweise der bei Europol bereits 
genutzten „Ma3tch“-Technologie zum Aufspüren verdächtiger Finanz- 
Aktivitäten in Echtzeit mitteilen? 

Nach Kenntnis der Bundesregierung handelt es sich bei der Ma^tch-Funktion 
um einen „automatisierten“ Abgleich pseudonymisierter Daten, nach dem Hit- 
No-Hit-Prinzip. Die pseudonymisierten Daten müssen dazu von den „Teilneh- 
mern“ aktiv zur Verfügung gestellt werden. Vor einem Abgleich werden die Per- 
sonendaten in Hashwerte umgewandelt. Die Ma^tch-Funktionalität ist keine 
fachliche Anwendung, um verdächtige Finanztransaktion aufzuspüren, weder in 
Echtzeit noch retrograd. Ergänzend wird auf die Antwort zu Frage 23 verwiesen. 


25 . Auf welche Weise wird bei „Ma^tch“ ein „automatisierter oder anlassloser 
Datenaustausch“ vorgenommen (Bundestagsdmcksache 18/2888)? 

Zur Funktionsweise wird auf die Antwort zu Frage 24 verwiesen. Durch Arti- 
kel 53 Absatz 2 des Entwurfs der Vierten EU-Geldwäscherichtlinie (2013/ 
0025(COD)) soll der auf der Ma^tch-Funktion basierte „anonyme“ Datenaus- 
tausch gesetzlich klargestellt werden: 

„[...] Member States shall ensure that, in order to fulfil their tasks as laid down 
in this Directive, their FlUs co-operate in the application of state-of-the-art tech- 
nologies in accordance with their national law. Those technologies shall allow 
FlUs to match their data with that of other FlUs in an anonymous way by ensu- 
ring full protection of personal data with the aim of detecting subjects of the 
FlU’s interests in other Member States and identifying their proceeds and 
funds.“ 
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26. Welche Abteilung des Bundeskriminalamtes (BKA) ist derzeit damit be- 
fasst, zu prüfen, ob die bei Europol bereits genutzte „Ma3tch“-Technolo- 
gie zum Aufspüren verdächtiger Finanz -Aktivitäten in Echtzeit auch beim 
BKA genutzt werden könnte (Bundestagsdrucksache 18/3910)? 

a) Welche konkreten Fragen bzw. Annahmen liegen dieser Prüfung zu- 
grunde? 

b) Welche weiteren Behörden oder sonstigen Akteure sind an der Prüfung 
beteiligt? 

Die Fragen 26, 26a und 26b werden gemeinsam beantwortet. 

Die Prüfung beim BKA obliegt der Abteilung Schwere und Organisierte Krimi- 
nalität in Abstimmung mit anderen zuständigen Abteilungen. Die Prüfung er- 
folgt unter Maßgabe der vom F1U.NET erarbeiteten Vorgaben und Spezifikatio- 
nen. Ergänzend wird auf die Antwort zu Frage 25 verwiesen. 

c) Wann ist nach gegenwärtigem Stand mit einem Abschluss der Prüfung 
zu rechnen? 

Das BKA wird seine Prüfung voraussichtlich bis zum Sommer 2015 abschlie- 
ßen. 
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